Lausuntopalvelu.fi

Lausuntopalvelu - Valtionhallinnon pilvipalvelulinjauksien päivittäminen

Valtionhallinnon pilvipalvelulinjauksien päivittäminen

Lausuntopyynnön diaarinumero: VN/3115/2023

Vastausaika on päättynyt: 10.3.2023

Lausuntopyynnön taustatiedot
Lausuntopyynnön kieli:
Johdanto
Valtiovarainministeriön toimialaan kuuluu julkisen hallinnon tietopolitiikan, tiedonhallinnan ja sähköisen asioinnin yleiset perusteet ja valmisteluvastuulle julkisen hallinnon tiedonhallinnan yleistä kehittämistä ja ohjausta koskevat asiat. Valtionhallinnon tiedonhallinnan kehittämiseksi valtiovarainministeriö on valmistelemassa uudistettuja pilvipalvelujen hyödyntämiseen liittyviä linjauksia.
 
Tausta
Valtiovarainministeriö on julkaissut Julkisen hallinnon pilvipalvelulinjaukset (VM/276/00.01.00.01/2018) vuonna 2019. Lisäksi valtiovarainministeriö on julkaissut pilvipalvelulinjauksien soveltamisohjeet (Valtiovarainministeriön julkaisuja – 2020:73) vuonna 2020. Pilvipalvelulinjauksien tarkoituksena on ollut tarjota julkiselle hallinnolle informaatio-ohjausta pilvipalvelujen hyödyntämisen tueksi. Nyt uudistetuilla linjauksilla on tarkoitus täsmentää aiemmin annettuja linjauksien sisältöä huomioimaan pilvipalvelujen käytössä ja toimintaympäristössä tapahtuneet muutokset. Lähtökohtaisesti voimassa olevan pilvipalvelulinjauksen perustelut ja tavoitteet eivät ole muuttuneet. Uudistetut linjaukset tulevat olemaan päivitys voimassa oleviin linjauksiin.

Valtion pilvipalvelulinjauksia on valmistelu Valtion tieto- ja viestintätekniikkakeskus Valtorin Pilvipalvelujen yhteistyöryhmässä vuoden 2022 aikana. Linjauksien valmisteluun on osallistuneet laajasti Valtorin asiakasorganisaatiot sekä valmistelun yhteydessä on kuultu sidosryhmiä. Tässä vaiheessa uudistetut linjaukset on tarkoituksena julkaista valtionhallinnon pilvipalvelulinjauksina. Lähtökohtana on, että linjauksia voidaan hyödyntää soveltuvin osin myös muun julkisen hallinnon käyttöön.

Jatkovalmistelussa on tarkoitus tuottaa linjausten yhteyteen päivitetyt soveltamisohjeet. Soveltamisohjeet on tarkoitus tuottaa ns. toimenpidekortteina, joissa kuvataan tarkemmin linjaukseen liittyvät menettelytavat esim. riskienhallinnan, tuloksellisuuden, yms. osalta.

 
Tavoitteet
Ehdotukset valtion pilvipalvelulinjauksiksi
1. Ensisijaisesti pilveen (Cloud 1st) strategia: Pilvipalvelu tai pilvipalveluteknologia tulee olla ensisijainen valinta, mikäli estäviä perusteita valintaan ei ole
Tavoitteet: Uudet tuotteistetut tietoturvallisemmat palvelut ja kyvykkyydet helposti saatavilla sekä käyttöönotettavissa. Palvelut mahdollistavat joustavan käytön ja kapasiteetin hankinnan.

2. 
Pilvi- ja ekosysteemiratkaisut tulee tuottaa lähtökohtaisesti EU/ETA –alueelta

Tavoitteet: Varmistetaan palveluiden toteutus, hallinnointi/hallinta ja tiedonkäsittely on aina, mikäli mahdollista, EU/ETA –alueen lainsäädännön piirissä ja poikkeamat hyväksytään tiedonhallintayksikön tai viraston johdon riskiperusteisella päätöksellä.

3. Valtion yhteisten pilvi- ja ekosysteemiratkaisujen tulee olla ensisijainen valinta, mikäli estäviä perusteita valinnalle ei ole

Tavoitteet: Valtion yhteisten ratkaisujen laajempi hyödyntäminen ja yhteentoimivuuden varmistaminen.

4. Pilvialustapalveluihin liittyvät kilpailutukset ja hankinnat tulee tehdä ensisijaisesti valtionhallinnon yleisillä hankintasopimuksilla

Tavoitteet: Valtori ja Hansel tarjoavat pilvialustapalveluiden ajan tasalla olevat hankintasopimukset sekä siihen liittyvät tukipalvelut virastoille. Virasto vastaa palveluiden valinnasta oman strategiansa ja tavoitteidensa mukaisesti.

5. 
Pilvipalveluiden hankintaa, käyttöönottoa ja hyödyntämistä tulee käsitellä kuin mitä tahansa muutakin palvelun hankintaa tai muutosta

Tavoitteet: Varmistetaan asianmukainen ja huolellinen hankinta sekä muutoshallinta valtion sekä virastojen prosessien mukaisesti.
 
6. Julkista tietoa voi käsitellä julkisessa pilvipalvelussa, kun tietoturva, tietosuoja ja jatkuvuudenhallinta on vaatimustenmukaisesti toteutettu, todennettu ja käyttöönotettu tiedonhallintayksikön tai viraston johdon riskiperusteisella päätöksellä 
Tavoitteet:Mahdollistaa julkisen tiedon käyttö ja hyödyntäminen pilvipalveluissa. Tiedon luokittelun kautta on varmistettu, että toteutettava palvelu sisältää vain julkista tietoa.
 
7. Salassa pidettävää turvallisuusluokittelematonta tietoa voi käsitellä julkisessa pilvipalvelussa, kun tietoturva, tietosuoja ja jatkuvuudenhallinta on vaatimustenmukaisesti toteutettu, todennettu ja käyttöönotettu tiedonhallintayksikön tai viraston johdon riskiperusteisella päätöksellä 
Tavoitteet: Mahdollistaa salassa pidettävän ei luokitellun tiedon käyttö ja hyödyntäminen pilvipalveluissa. Tiedon luokittelun kautta on varmistettu, että toteutettava palvelu sisältää vain turvallisuusluokittelematonta salassa pidettävää tietoa.
 
8. Henkilötietoa voi käsitellä julkisessa pilvipalvelussa, kun tietoturva, tietosuoja ja jatkuvuudenhallinta on vaatimustenmukaisesti toteutettu, todennettu ja käyttöönotettu tiedonhallintayksikön tai viraston johdon riskiperusteisella päätöksellä
Tavoitteet: Mahdollistaa henkilötiedon käyttö ja hyödyntäminen pilvipalveluissa. Tietoluokittelun kautta on varmistettu, että kun toteutettava palvelu sisältää henkilötietoa on sen vaatimat toimenpiteet tehty siirrettäessä henkilötietoa ETA-alueen ulkopuolelle ja tiedonsiirtoa koskevat erityiset tietosuojavaatimukset täyttyvät.
 
9. Turvallisuusluokan IV tietoa voi käsitellä julkisessa pilvipalvelussa, kun tietoturva, tietosuoja ja jatkuvuudenhallinta on vaatimustenmukaisesti toteutettu, todennettu ja käyttöönotettu tiedonhallintayksikön tai viraston johdon riskiperusteisella päätöksellä

Tavoitteet:
Mahdollistaa tietoturvaturvallisuusluokitellun tiedon käyttö sekä hyödyntäminen pilvipalveluissa. Riskien arvioinnissa on otettu huomioon koko palvelun tuottamisessa käytetty toimitusketju. Tiedon luokittelun kautta on varmistettu, että tuotettava palvelu sisältää vain sellaista turvallisuusluokan IV tietoa, joka on luovutettavissa maihin, joilla on lainsäädännöllisiä vaikutusmahdollisuuksia kyseiseen pilvipalveluun. Mikäli tiedot eivät ole luovutettavissa palveluun määräysvallassa oleviin muihin valtioihin, on se toteutettava kansallisiin pilvipalveluihin edellyttäen, että ne on vaatimustenmukaisesti toteutettu.


 
Liitteet:

VN_3115_2023-VM-3 Valtionhallinnon pilvipalvelulinjaukset - lausuntopyyntö_SV.pdf - Finansministeriets begäran om utlåtande om riktlinjer om molntjänster för statsförvaltningen VN/3115/2023-VM-3

Aikataulu
Lausunto pyydetään antamaan viimeistään 10.3.2023.
Vastausohjeet vastaanottajille
Lausunto pyydetään antamaan vastaamalla lausuntopalvelu.fi:ssä julkaistuun lausuntopyyntöön. Lausuntopyyntö on lähetetty erikseen ministeriöille.

Lausunnon antaakseen vastaajan tulee rekisteröityä ja kirjautua lausuntopalvelu.fi -palveluun. Tarkemmat ohjeet palvelun käyttämiseksi löytyvät www-sivulta osoitteesta lausuntopalvelu.fi > Ohjeet > Käyttöohjeet. Palvelun käyttöönoton tukea voi pyytää osoitteesta [email protected].

Kaikki lausuntopalvelu.fi:ssä annetut lausunnot ovat julkisia ja ne julkaistaan lausuntopalvelu.fi:ssä.

Lausuntoja voivat antaa muutkin kuin jakelussa mainitut.

Valmistelijat
Lisätietoja lausuntopyynnöstä antaa tietohallintoneuvos Tommi Kangasaho (puh. 0295 530 264, tommi.kangasaho(at)gov.fi) julkisen hallinnon tieto- ja viestintätekniseltä osastolta.

 
Jakelu:
Liikenne- ja viestintäministeriö    
Maa- ja metsätalousministeriö    
Oikeusministeriö    
Opetus- ja kulttuuriministeriö    
Puolustusministeriö    
Sisäministeriö    
Sosiaali- ja terveysministeriö    
Työ- ja elinkeinoministeriö    
Ulkoministeriön edustustot    
Valtioneuvoston kanslia    
Valtiovarainministeriö    
Ympäristöministeriö